Kaspersky Lab の研究者は、侵害されたシステムを攻撃者が管理するために最も広く利用されているツールのひとつである Mythic の、企業ネットワーク内での存在を検出する方法についての詳細な調査結果を公開しました。
Mythic は、いわゆるポストエクスプロイトフレームワークに分類されます。これらのプラットフォームにより、攻撃者は侵害済みマシンに対する制御を維持しつつ、組織内部で徐々に足場を拡大することができます。かつて攻撃者は Cobalt Strike のような商用プロプライエタリツールを好んで使用していましたが、近年は Mythic、Sliver、Havoc などのオープンソース代替ツールへと大きくシフトしています。これらのフレームワークは、ロシア企業を標的とするものを含む APT グループによっても積極的に利用されています。
研究者らは興味深い傾向を指摘しています。この種のツールの開発者は、アンチウイルスソフトウェアやエンドポイント保護システムの回避には多大な労力を注ぐ一方で、ネットワーク上の活動を隠蔽することにはそれほど注意を払っていません。しかし、悪意あるエージェントは必然的に C2(コマンド&コントロール)サーバーと通信する必要があり、まさにその通信こそが観測・追跡可能なポイントとなるのです。
Mythic は HTTP、WebSocket、TCP、SMB、DNS、さらには MQTT など、非常に幅広い通信チャネルをサポートしています。さらに、そのエージェントは Discord や GitHub といった一般的な中継サービスを利用することでトラフィックを難読化することもできます。この場合、コマンドや実行結果は通常のメッセージやコメントに偽装され、その活動は正当な利用との区別がほとんどつかなくなります。
これらの手法は多様であるものの、共通する特徴があります。それは、データが特定の方式でエンコードされており、すべてのメッセージが UUID 形式の一意なエージェント識別子で始まるという点です。この繰り返し現れるパターンが検出ロジックの基盤となりました。研究者らは、ネットワークパケット内のこうした特徴的な構造を識別するための Suricata シグネチャ群を作成し、SMB、TCP、HTTP、HTTPS、WebSocket 上での Mythic 通信を検出できるようにしました。
暗号化されたトラフィックは、より大きな課題をもたらします。エージェントが Discord や GitHub と HTTPS 経由で通信し、防御側がトラフィックを復号できない場合、検出は振る舞い分析に依存せざるを得ません。具体的には、これらのサービスへの異常に高頻度な接続や、過剰な DNS クエリを監視します。このアプローチは本質的に精度が低く、誤検知を避けるためには、対象環境の特性に合わせた慎重なチューニングが必要となります。
SMB プロトコルには重要な制約があります。SMB バージョン 3 の暗号化が有効化されている場合、シグネチャベースの検査は不可能となり、一方で SMB は企業ネットワークにおいて正当な用途で広く利用されているため、振る舞いベースの手法は過剰なノイズを生みがちです。
